Trojan ngân hàng Astaroth lợi dụng GitHub để tiếp tục hoạt động sau khi bị gỡ bỏ

[Starlink]

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một chiến dịch mới phát tán trojan ngân hàng Astaroth, sử dụng GitHub làm xương sống cho các hoạt động của nó để duy trì khả năng phục hồi trước nguy cơ phá hủy cơ sở hạ tầng.

Các nhà nghiên cứu Harshil Patel và Prabudh Chakravorty của McAfee Labs cho biết trong một báo cáo: "Thay vì chỉ dựa vào các máy chủ chỉ huy và kiểm soát (C2) truyền thống có thể bị đánh sập, những kẻ tấn công này đang tận dụng kho lưu trữ GitHub để lưu trữ cấu hình phần mềm độc hại".

"Khi cơ quan thực thi pháp luật hoặc các nhà nghiên cứu bảo mật đóng cửa cơ sở hạ tầng C2, Astaroth chỉ cần lấy cấu hình mới từ GitHub và tiếp tục chạy."

Theo công ty an ninh mạng, hoạt động này chủ yếu tập trung vào Brazil, mặc dù phần mềm độc hại nhắm vào ngân hàng này được biết là nhắm mục tiêu vào nhiều quốc gia khác nhau ở Mỹ Latinh, bao gồm Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela và Panama.

Đây không phải là lần đầu tiên các chiến dịch Astaroth nhắm đến Brazil. Vào tháng 7 và tháng 10 năm 2024, cả Google và Trend Micro đều đã cảnh báo về các cụm mối đe dọa có tên là PINEAPPLE và Water Makara, sử dụng email lừa đảo để phát tán phần mềm độc hại.

Chuỗi tấn công mới nhất cũng không có gì khác biệt ở chỗ nó cũng bắt đầu bằng một email lừa đảo có chủ đề DocuSign chứa liên kết tải xuống tệp nén phím tắt Windows (.lnk), khi mở ra, sẽ cài đặt Astaroth trên máy chủ bị xâm phạm.

Tệp LNK chứa JavaScript được mã hóa, chịu trách nhiệm lấy thêm JavaScript từ máy chủ bên ngoài. Về phần mình, mã JavaScript mới được lấy sẽ tải xuống một số tệp từ một trong những máy chủ được mã hóa cứng được chọn ngẫu nhiên.

Điều này bao gồm một tập lệnh AutoIt được thực thi bởi tải trọng JavaScript, sau đó nó tải và chạy shellcode, sau đó shellcode sẽ tải DLL dựa trên Delphi để giải mã và đưa phần mềm độc hại Astaroth vào tiến trình RegSvc.exe mới tạo.

Astaroth là một phần mềm độc hại Delphi được thiết kế để theo dõi các lượt truy cập của nạn nhân vào các trang web ngân hàng hoặc tiền điện tử và đánh cắp thông tin đăng nhập của họ bằng cách sử dụng keylogging. Thông tin thu thập được sẽ được truyền đến kẻ tấn công thông qua proxy ngược Ngrok.

Nó thực hiện điều này bằng cách kiểm tra cửa sổ chương trình đang hoạt động của trình duyệt mỗi giây và xem có trang web liên quan đến ngân hàng nào đang mở hay không. Nếu đáp ứng các điều kiện này, phần mềm độc hại sẽ móc nối các sự kiện bàn phím để ghi lại các lần nhấn phím. Một số trang web bị nhắm mục tiêu được liệt kê dưới đây:

      Đăng nhập để xem liên kết[.]br
      Đăng nhập để xem liên kết[.]br
      Đăng nhập để xem liên kết[.]br
      Đăng nhập để xem liên kết[.]br
      Đăng nhập để xem liên kết[.]br
    btgpactual[.]com
    etherscan[.]io
    binance[.]com
      Đăng nhập để xem liên kết[.]br
    metamask[.]io
      Đăng nhập để xem liên kết[.]br
    localbitcoins[.]com

Astaroth cũng được trang bị khả năng chống phân tích và tự động tắt nếu phát hiện trình giả lập, trình gỡ lỗi và các công cụ phân tích như QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg và Wireshark, cùng nhiều công cụ khác.

Tính năng lưu trữ trên máy chủ được thiết lập bằng cách thả một tệp LNK vào thư mục Khởi động Windows, chạy tập lệnh AutoIT để tự động khởi chạy phần mềm độc hại khi hệ thống khởi động lại. Hơn nữa, URL ban đầu được JavaScript truy cập trong tệp LNK không chỉ bị chặn địa lý, mà phần mềm độc hại còn đảm bảo rằng ngôn ngữ hệ thống của máy không được đặt thành tiếng Anh hoặc tiếng Mỹ.

McAfee cho biết: "Astaroth sử dụng GitHub để cập nhật cấu hình khi máy chủ C2 không thể truy cập được bằng cách lưu trữ hình ảnh trên GitHub, sử dụng kỹ thuật ẩn chữ để ẩn thông tin này ở nơi dễ thấy".

Bằng cách này, phần mềm độc hại lợi dụng một nền tảng hợp pháp để lưu trữ các tệp cấu hình và biến nó thành một cơ sở hạ tầng sao lưu linh hoạt khi các máy chủ C2 chính không thể truy cập được. Công ty lưu ý rằng họ đã làm việc với công ty con thuộc sở hữu của Microsoft để xóa kho lưu trữ GitHub, tạm thời vô hiệu hóa các hoạt động.